Inflación artificial del tráfico (IAT): Una amenaza creciente para la mensajería

El mundo de la mensajería A2P es complejo. Implica a varios actores, pasarelas y protocolos, todos ellos configurados para garantizar que los usuarios reciban las comunicaciones destinadas a ellos. Navegar por un ecosistema tan complejo no es fácil y deja margen para que los estafadores se aprovechen. Una trama fraudulenta, denominada tráfico inflado artificialmente (IAT), ha ido ganando impulso discretamente sin motivo aparente de preocupación para las empresas… hasta ahora.

La IAT es un tipo de fraude por SMS que genera grandes volúmenes de tráfico falso a través de aplicaciones móviles o páginas web. Según las conclusiones recientes de Mobilesquared presentadas en el Foro Mundial del MEF, las mayores amenazas para la mensajería en 2022 eran las rutas grises, la IAT y el phishing por SMS y, como se preveía, la IAT tomó la delantera en 2023.

Un escenario de IAT común es algo parecido a esto:

1. Un estafador diseña un bot para crear cuentas falsas.
2. El bot genera un SMS con un código de acceso de un solo uso (OTP) para números de móvil.
3. El estafador se asocia con una parte fraudulenta para interceptar el tráfico inflado sin entregar realmente los mensajes al usuario final.
4. Juntos, reclaman los ingresos, comparten los beneficios…
5. …y repiten el proceso para inflar aún más los ingresos o manipular las estadísticas de conversión.

Como propietario de la aplicación, es probable que te toque pagar la factura ya que se han entregado los mensajes. Es habitual que los estafadores inflen el tráfico hacia ubicaciones lejanas, porque los destinos internacionales con altos costes de entrega son los que producen más beneficios.

Hay tres factores principales que explican el aumento del fraude de IAT:

• Con el aumento de los costes de los SMS A2P, el potencial de beneficios de la IAT es cada vez más atractivo para los estafadores. Y como el coste de los SMS puede ser elevado, algunos optarán por utilizar los beneficios de las tramas de IAT para pagar el tráfico legítimo de SMS.
• La IAT es difícil de identificar, ya que no está regulada por acuerdos ni normativas sobre SMS comunes. Esto significa que puede eludir los cortafuegos de los operadores de telefonía móvil, porque las OTP no se consideran spam.
• Las partes podrían utilizar medios fraudulentos para generar tráfico con el fin de adelantarse a la competencia y aumentar su valor en un mercado saturado.

El principal impacto es financiero. El fraude de IAT conlleva importantes pérdidas de beneficios para las empresas. Twitter, por ejemplo, habría perdido 60 millones de dólares al año por culpa de la IAT.

El fraude de IAT podría pasar completamente desapercibido y hacerse evidente solo después de comparar la entrega del volumen de mensajes con el retorno previsto.

La reputación de la marca también podría estar en peligro, ya que las empresas podrían ser percibidas como ilegítimas e incumplidoras por sus clientes. Si un usuario recibe múltiples OTP que no ha solicitado, es probable que cuestione la integridad de la empresa.

Pero las empresas no son las únicas que pueden salir perdiendo; la IAT es un problema para todo el ecosistema de mensajería, que amenaza tanto a los operadores como a los proveedores de mensajes. Con el aumento de las tarifas de los SMS y los nuevos procedimientos de regulación, las marcas están empezando a considerar otros canales. Los operadores de telefonía móvil también corren el riesgo de perder ingresos por SMS A2P porque las marcas están cambiando a otros métodos de autenticación.

Aunque no existe una estrategia específica para luchar contra la IAT, las empresas pueden aplicar algunos métodos de prevención y detección que pueden reducir significativamente el número de ataques fraudulentos:

• Supervisar volúmenes muy grandes de mensajes salientes «inesperados»: Añadir comprobaciones adicionales de los identificadores de IP, usuario o dispositivo cuando un nuevo usuario crea una cuenta. Esto puede ayudar a identificar comportamientos sospechosos y actuar antes de que el estafador tenga la oportunidad de solicitar el envío de un mensaje.
• Vigilar las tasas de conversión (CR) de los SMS de OTP: en muchos casos, los delincuentes no pueden mantener CR altas de IAT.

Las empresas deben:

• Limitar el número de intentos de solicitud de SMS que utilicen la misma dirección IP o dispositivo.
• Desactivar la opción de enviar mensajes a destinos no utilizados (la mayoría de los casos se dan en países donde las marcas no operan).
• Utilizar CAPTCHA y herramientas similares para bloquear bots.
• Utilizar la verificación por SMS de Sinch, que permite a las empresas aumentar la conversión y evitar el fraude mediante la supervisión de sus tasas de conversión en tiempo real para ayudar a identificar la IAT.

Los operadores deben:

• Garantizar el uso legítimo de los rangos asignados cuando alquilen números y rangos de números a terceros.
• Seleccionar solo colaboradores de confianza y respetables para la entrega de tráfico de SMS a redes con clientes empresariales, para disminuir el número de intermediarios entre emisores y abonados.
• Ser prudentes a la hora de aceptar compromisos de ingresos demasiado ambiciosos de proveedores que buscan acuerdos a medida. Si parece demasiado bueno para ser verdad, probablemente lo sea.

Como líder en comunicaciones en la nube, Sinch se compromete a seguir las normas más estrictas de transparencia y responsabilidad. Por eso trabajamos con los clientes para reducir el riesgo de IAT:

• Supervisamos el tráfico para identificar un uso anormal e informamos a los clientes si lo detectamos.
• Bloqueamos el fraude de IAT detectado a nivel de red de destino y a nivel de rango MSISDN.
• Ofrecemos detección de IAT como parte de la verificación por SMS de Sinch.
• Contribuimos a un ecosistema más limpio:​​
  • Nuestra estrategia de enrutamiento garantiza la exclusión de los estafadores.
  • Mejoramos los acuerdos de colaboración para añadir cláusulas de IAT.
  • Mantenemos un registro de destinos de alto riesgo.
• También estamos organizando un punto de contacto para un sistema automático de alerta de detección de fraude.

Sinch es firmante del Código de Conducta de SMS empresarial en el marco de la iniciativa Trust in Enterprise Messaging (TEM) del MEF, lo que significa que ayudamos a acelerar la limpieza del mercado y a educar a los compradores de soluciones de mensajería empresarial sobre las amenazas asociadas a las prácticas fraudulentas y los procesos de adjudicación deficientes.

También mantenemos una cadena de confianza (para las entregas) lo más corta posible, con más de 600 conexiones directas con operadores, supervisamos activamente las tasas de conversión y adoptamos una postura legal adecuada cuando tenemos pruebas suficientes para informar a nuestros proveedores. Obtén más información sobre nuestra lucha contra el fraude por SMS.

Autor/a: The Sinch team